木马作为恶意程序的一种,经常被作为黑客入侵利用的手段,这对网络安全和信息安全将造成极大的危害。提出一种改进的基于扩展攻击树模型的木马检测方法。通过分析 PE 文件,采用静态分析和动态行为监控技术相结合的检测方法提取程序 API调用序列;并用信息增益的方法筛选出木马关键 API 短序列集合,作为构建扩展攻击树模型的特征库;将待检测程序以 API 短序列为行为特征与模型节点进行匹配、分析,同时改进了匹配节点的权值和危险指数的算法。最后给出扩展攻击树模型调整与优化的方法。实验结果表明,改进后的方法不仅在木马检测效率、准确度方面有较好的表现,还能检测出经过升级变种的木马。